Wie man echt aussehende betrügerische Zertifikate erkennt
Malware benutzt betrügerische Zertifikate, die allerdings echt aussehen. Prüfen Systeme nicht ausreichend, kann das zu einer Infizierung führen.
Berichten zufolge ist Zeus zurück. Diesmal beinhaltet die Malware ein eigenes, echt aussehendes Zertifikat. Wie kann ich einen Trojaner entdecken, der ein anscheinend echtes Zertifikat im Gepäck hat?
Die PKI (Public Key Infrastructur) wurde mit diversen Security-Funktionen im Hinterkopf entwickelt. Damit können Instanzen entscheiden, wem Sie vertrauen und wem nicht. Das System wurde aber auch so aufgesetzt, dass ein digitales Zertifikat, das von einer CA (Certificate Authority / Zertifizierungsstelle) ausgestellt wurde, im Falle einer Kompromittierung annulliert werden kann. Man kann einer Zertifizierungsstelle sogar das Ausstellen von Zertifikaten entziehen.
Netscape hatte einige signifikante Fortschritte bei der Förderung von E-Commerce in seinem Web-Browser gemacht, als man CA-Zertifikate zusammen mit Web-Browsern auslieferte, um das damals neue SSL-Protokoll zu unterstützen. Diese Aktion resultierte darin, dass man den Zertifizierungsstellen per Standard vertraute. Das größte Problem an dieser Geschichte ist, dass jede CA ein Zertifikat für jeden Namen ausstellen kann. Zum Beispiel könnte www.google.de von einer böswilligen Zertifizierungsstelle unterzeichnet sein und die Website würde immer noch als echt durchgehen.
Das von der Zeus-Variante verwendete digitale Zertifikat wurde von einer realen Software-Firma und von einer echten Zertifizierungsstelleausgestellt. Die Endpunkte hat das aber nicht vor Angriffen geschützt. Die CA hat das Zertifikat annulliert und einige Systeme haben der unterzeichneten Malware somit nicht mehr vertraut. Die meisten Systeme überprüfen die Annullierungen aber nicht und dafür gibt es verschiedene Gründe. Möglicherweise ist diese Methode in Web-Browsern, Betriebssystemen oder anderen Anwendungen nicht per Standard aktiviert. Somit sind sie Opfer des betrügerischen Zertifikats und der Malware geworden.
Unternehmen können ein scheinbar echtes Zertifikat erkennen, indem Sie die Annullierungs-Listen prüfen. Erst danach sollte man die entsprechende Software installieren. Ein Unternehmen könnte auch jede Datei auf annullierte Zertifikate überprüfen, die via HTTP heruntergeladen werden soll und notfalls den Download blockieren. Alternativ ließe sich jede Datei auf einem lokalen Dateisystem auf Dateien mit annullierten Zertifikaten scannen. Sind solche Systeme erst einmal identifiziert, sollte man sie genauer unter die Lupe nehmen.